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The cryptographic processing involves 
product-sum calculations on long numbers, 
and is implemented as a unitary operation with 
carry propagation for computation with integer 
arithmetic, and without carry propagation for 
computation based on a finite Galois field. 
Separate integer (11) and Galois field (12) 
computation circuits are provided, with a 
selector (13) to choose the appropriate circuit. 
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(57) Un appareil arithmetique pour realiser une operation 
produit-somme sur des nombres longs inclut un circuit arith- 
metique unitaire Rentiers (1 1 ), un circuit arithmetique unitai- 
re base sur champ fini GF (2 A m) (12) adjacent du point de 
vue logique au circuit arithmetique unitaire Rentiers, un se- 
lecteur (13) pour selectionner soit le circuit arithmetique 
cfentiers, soit le circuit arithmetique unitaire base sur champ 
fini GF (2^) et un circuit d'additionneur (14) qui comporte 
un tampon pour stocker des donnees de resultat interme- 
diaire, qui additionne les donnees de resultat intermediate 
aux donnees de resultat obtenues par soit le circuit arithme- 
tique unitaire d'entiers, soit le circuit arithmetique unitaire 
base sur champ fini GF (2*111) selon celui qui est selectionne 
par le selecteur, qui propage un report Ions d'une operation 
arithmetique unitaire basee sur des entiers et qui ne pro- 
page pas de report lors d'une operation arithmetique unitai- 
re base sur champ fini GF (2*1x1). 
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ARRIIzRE-PLAN DE ^INVENTION 
La pr6sente invention concerne un proc6de arithm6tique et un 
appareil arithmetique ainsi qu'un appareil de traitement cryptographique 
et plus particulterement, un procede arithnrtetique et un appareil 
5 arithmetique ainsi qu'un appareil de traitement cryptographique qui sont 
utilises de fagon appropriee pour des coprocesseurs cryptographiques 
et similaire mis en ceuvre dans par exemple des cartes a circuit integr6 
(IC) et des appareils electriques domestiques £ flux d'information. 

Lors de la mise en oeuvre d'un circuit integr6 £ grande echelle 
10 d'integration (LSI) pour une cryptographie par cle publique, un systeme 
cryptographique pour tealiser une operation bas6e sur les entiers du 
systeme RSA (Rivest-Shamir-Adleman) ou similaire a ete 
essentiellement utilis6. 

Dans ce systeme, une operation doit etre r6alisee pour un entier 
t5 a Taide d'un nombre important de chiffres. Pour cette raison, si ce 
systeme est appliqu6 a une carte IC ou similaire, un processeur a 
usage special est requis. Bon nombre de systemes qui mettent en 
oeuvre de tels coprocesseurs & usage special pour realiser des 
operations bas6es sur des entiers longs pour un traitement 
20 cryptographique ont deja ete mis en utilisation pratique. 

R6cemrnent, Tattention a 6te attir6e par des systemes 
cryptographiques bas6s sur un systeme algebrique appele champ fini 
GF (2 A m) : champ de Galois, tout particulterernent des systemes 
cryptographiques & courbe elliptique d'un champ fini GF (2 A m), au lieu 
25 de systemes cryptographiques bas6s sur des entiers. 

Dans ce systeme cryptographique qui utilise une operation 
arithmetique d champ fini GF (2 A m), le nombre de bits d manipuler doit 
etre etabli de mantere £ etre aussi important que 160 ou plus comme 
dans un systeme a operation bas6e sur des entiers tel que RSA. Pour 
30 cette raison, si un tel systeme est mis en ceuvre sur un dispositif dans 
lequel la performance d'une unite centrale de traitement ou CPU est 
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faible, par exemple une carte IC, un temps de traitement relativement 
long est requis. Par consequent, il y a des demandes pour une 
augmentation de la performance en utilisant des composants materiels 
a usage special (des coprocesseurs). 
5 Comme decrit ci-avant, conformement au systeme RSA ainsi 

qu'a la cryptographie a courbe elliptique, les coprocesseurs a usage 
general doivent etre prepares afin de realiser un traitement 
cryptographique haute Vitesse dans des cartes IC et similaire. 

La figure 23 represente I'implantation d'un LSI de carte IC 

10 incluant un coprocesseur pour un traitement cryptographique. Par 
report a la figure 23, dans ce LSI, une unite centrale de traitement ou 
CPU, une memoire vive ou RAM, une memoire morte ou ROM et une 
memoire morte programme et effagable electriquement ou EEPROM 
sont integrees selon une seuie puce et le coprocesseur est constitue 

15 par une RAM, par une section arithmetique et par une section de 
commande. Le coprocesseur assiste la CPU dans la realisation 
d'operations arithmetiques de base pour une cryptographie par cle 
publique, par exemple une exponentiation sur des nombres longs et les 
quatre operations fondamentale de I'arithmetique sous la commande de 

20 la CPU. 

La figure 24 represente un coprocesseur dans le LSI represente 
sur la figure 23. Selon le systeme RSA, ce composant est mis en ceuvre 
en tant que multiplicateur base sur les entiers permettant de realiser 
des operations basees sur les entiers. 

25 Lors de I'assemblage d'un LSI d'une cryptographie a courbe 

elliptique, bien que I'agencement global devienne identique ou similaire 
a celui du LSI represente sur la figure 23, un coprocesseur pour realiser 
des operations arithmetiques de champ fini GF (2 A m) doit etre prepare 
en lieu et place d'un coprocesseur pour realiser des operations basees 

30 sur les entiers. 

La figure 25 est un schema fonctionnel qui represente 
I'agencement de composants materiels d'un coprocesseur pour realiser 
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des operations arithmetiques de champ fini GF (2 A m) avec une base de 
polynome. 

La figure 25 repr6sente un type d'appareil arithmetique pour un 
champ fini GF (2 A m) appele champ cyclotomique qui utilise le polyn6me 
5 irreductible special decrit dans "Hardware Implementation of Elliptic 
Curve Cryptosystem", SCIS' 98-10. LC. Cet appareil arithmetique 
comporte un agencement permettant d'executer des operations 
d'addition, d'e!6vation au carre, de multiplication et diversion sur un 
champ fini GF (2 A m). Moyennant cet agencement, une operation 

10 arithmetique de champ fini GF (2 A m) requise pour calculer un point sur 
une courbe elliptique est ex6cutee. En integrant un tel appareil 
arithmetique dans un IC, un coprocesseur pour des operations 
arithmetiques de champ fini GF (2 A m) qui peut etre applique au LSI de 
la figure 23 peut etre obtenu. 

15 Dans ce cas, chacun des circuits d'additionneur et de 

multiplicateur est constitue par m portes OU-exclusif, et un circuit de 
multiplicateur 81 est mis en ceuvre au moyen de I'agencement de circuit 
represents sur la figure 26. 

La figure 26 repr6sente un circuit de multiplicateur base sur 

20 champ fini GF (2 A m) appele champ cyclotomique. 

Le circuit de multiplicateur 81 comporte des registres d'entree de 
m bits A et B. Le circuit de multiplicateur 81 entre les coefficients d'un 
polyndme a(x) en tant que valeurs fixes sur le registre d'entree A et 
realise un calcul tout en decalant les coefficients d'un polynome b(x) a 

25 partir du bit de poids le plus fort en reponse £ des horloges respectives. 
Par report a la figure 26, des symboles de reference D represented des 
bascules bistables constituant un registre de retour. Lorsque m 
decalages sont realises, les valeurs des blocs respectifs D sont 
chargees dans un registre de sortie C, d'ou ainsi I'obtention de a(x) * 

30 b(x) en tant que r6sultat d'operation. 

Comme il apparait au vu de la comparaison entre les circuits 
repr6sentes sur les figures 24 et 26, une operation de multiplication 
bas6e sur les entiers et une operation arithmetique de champ fini GF 
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(2 A m) d'une base polyndme different totalement du point de vue de leur 
architecture pour executor des operations de multiplication. Des 
tentatives ont par consequent ete faites afin de former des 
agencements de composants materiels differents pour les systemes 
5 cryptographiques respectifs. 

Pour une multiplication modulaire basee sur champ fini GF 
(2 A m) lors d'une operation fondamentale pour un systeme 
cryptographique a courbe elliptique, un appareil arithmetique qui utilise 
un registre decalage a retour lineaire (LFSR) en tant que circuit de 

10 division qui utilise un polyndme f(x) sur un champ fini GF (q A m) est 
largement utilise. Le polyndme modulo f(x) est : 
f(x) = f m x m + f^x" 1 " 1 + ... + f lX + f 0 . .f m = 1 
La figure 27 est un schema fonctionnel qui represente 
I'agencement d'un registre a decalage a retour lineaire LFSR. Dans ce 

15 LFSR 90, des additionneurs OU-exclusif 91! a 91 m et des elements de 
retard d'une horloge (appeles ci-apres des registres) 92, a 92 m sont 
mont.es eh cascade en alternance depuis le cote d'entree. Dans cet 
agencement, la sortie qui est extraite depuis le m-ieme registre a 
decalage 92 m est appliquee en retour separement sur les m 

20 additionneurs 91, a 91 m par I'intermediaire d'unites de coefficient 93, a 
93 m . 

Ce LFSR 90 fonctionne sur une base temps unitaire (horloge). 

Dans le registre a decalage, I'avancement d'une impulsion d'horloge 

operatoire d'une horloge est appele realisation d'un decalage et le 
25 nombre m de registres 92, a 92 m incorpores dans le registre a decalage 

est appele nombre d'etages du registre ^ decalage. 

Lorsque q = 2, une bascule bistable d'un bit peut etre appliquee 

a chacun des registres 92, a 92 m . Chacune des unites de coefficient 93, 

a 93 m multiplie "1" ou "0". Lorsque "1" est multiplie, une unite de 
30 coefficient correspondante est connectee tandis que lorsque "0" est 

multiplte, une unite de coefficient correspondante n'est pas connectee. 

En tant que chacun des additionneurs 91, a 91 m , une porte OU-exclusif 

a deux entrees est utilis6e. 
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Dans ce LFSR 90, lorsque les coefficients cTun polyn6me de 
dividende sont entres s6quentiellement depuis le c6te d'entr6e (le cote 
gauche) en partant des ordres plus eleves, les coefficients d'un 
polyndme de quotient sont emis en sortie de fagon sequentielle depuis 
5 le c6te de sortie (le cote droit) en partant des ordres plus eleves. Dans 
ce cas, les contenus des registres respectifs (les bascules bistables) 
92i a 92 m suite £ la fin de I'entree du terme d'ordre 0 du polyndme de 
dividende sont les coefficients d'un polyndme de reste. 

Dans I'appareil arithmetique qui utilise le LFSR 90 mentionn6 ci- 

10 avant, cependant, les registres 92^ a 92 m dont le nombre est 6gal au 
nombre de bits d'un degr6 m sont requis et il s'ensuit que Tagencement 
des registres 92, a 92 m est limite par le degr§ m. Par consequent, si le 
degre m augmente, le LFSR doit etre modifie pour chaque appareil 
arithm6tique. Bien que Tinvention soit presentement dediee ^ des 

15 systemes cryptographiques ^ courbe elliptique, des systemes 
cryptographiques RSA sont encore dans le cadre de Tinvention. II est 
par consequent fortement requis que m£me des cartes IC qui utilisent 
des systemes cryptographiques £ courbe elliptique puissent etre 
adaptees avec des systemes cryptographiques RAS. 

20 Lorsqu'a la fois un systeme cryptographique bas§ sur des 

entiers classique et un systeme cryptographique bas6 sur champ fini 
GF (2 A m) doivent etre incorpor6s dans la meme carte IC, des 
coprocesseurs correspondant aux systemes cryptographiques 
respectifs doivent etre incorpor6s dans la carte IC selon les techniques 

25 classiques. Cependant, si deux coprocesseurs sont incorpor6s dans la 
carte IC, Taire de puce de la carte IC qui est fortement limitee en 
termes d'aire est reduite de fagon non souhaitable. 

Lors d'une multiplication modulaire bas6e sur champ fini GF 
(2 A m), lorsque le degr6 m augmente, le LFSR doit etre modifie pour 

30 chaque appareil arithmetique, ce qui impose des limitations en termes 
de composants materiels. 

RESUME DE L'INVENTION 
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Un objet de la presente invention consiste a proposer un 
procede arithmetique et un appareil arithmetique ainsi qu'un appareil de 
traitement cryptographique qui puissent executer des operations 
arithmetiques sans modifier les configurations d'appareil meme si le 
5 degre m d'un champ fini GF (2 A m) augmente. 

Un autre objet de la presente invention consiste a proposer un 
appareil arithmetique et un appareil de traitement cryptographique qui 
puissent executer une operation arithmetique de champ fini GF (2 A m) 
ainsi qu'une operation basee sur des entiers en additionnant seulement 
10 des architectures minimum. 

Selon la presente invention, on propose un appareil arithmetique 
qui fonctionne en tant que circuit arithmetique unitaire tout en 
propageant un report lors d'une operation arithmetique unitaire basee 
sur des entiers et tout en faisant fonctionner le circuit arithmetique 
15 unitaire sans propager un quelconque report lors d'une operation 
arithmetique unitaire basee sur champ fini GF (2 A m). 

Selon la presente invention, une operation arithmetique de 
champ fini GF (2 A m) peut etre executee de meme qu'une operation 
basee sur des entiers en additionnant seulement une architecture 
20 minimum. 

Selon la presente invention, on propose un appareil arithmetique 
comprenant un circuit arithmetique unitaire base sur des entiers, un 
circuit arithmetique unitaire base sur champ fini GF (2 A m) qui est 
adjacent du point de vue logique au circuit arithmetique unitaire bas6 

25 sur des entiers et un selecteur pour selectionner le circuit arithmetique 
unitaire base sur des entiers ou le circuit arithmetique unitaire base sur 
champ fini GF (2 A m). 

Selon la presente invention, une operation de multiplication 
unitaire basee sur des entiers et une operation de multiplication basee 

30 sur champ fini GF (2 A m) peuvent toutes deux etre executees en 
additionnant seulement un circuit arithmetique unitaire base sur champ 
fini GF (2 A m). 
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Selon la presente invention, I'appareil arithmetique comprend un 
circuit arithmetique unitaire base sur les entiers et un circuit de 
conrimande de selection qui emet en sortie sur le circuit arithmetique 
unitaire base sur les entiers un signal de selection pour selectionner 
5 une operation arithmetique unitaire bas6e sur les entiers ou une 
operation arithmetique unitaire bas6e sur champ fini GF (2 A m). En 
outre, le circuit arithmetique unitaire base sur les entiers comprend un 
circuit de commande de propagation de report qui, lors de I'execution 
d'une operation de produit-somme sur des nombres longs, propage un 

10 report suite d la reception d'un signal de selection qui demande en 
instruction une operation arithmetique unitaire bas6e sur les entiers, et 
qui ne propage pas de report suite £ la reception d'un signal de 
selection qui demande en instruction une operation arithmetique 
unitaire bas6e sur champ fini GF (2 A m). Dans cet appareil, le mode 

15 arithmetique base sur les entiers et le mode arithmetique base sur 
champ fini GF (2 A m) peuvent etre commutes en commandant une 
propagation de report dans le circuit arithmetique unitaire. 

Selon la presente invention, une operation arithmetique bas6e 
sur les entiers et une operation arithmetique basee sur champ fini GF 

20 (2 A m) peuvent toutes deux etre ex6cutees en additionnant seulement le 
circuit de commande de propagation de report. 

Selon la presente invention, est propose un appareil 
arithmetique comprenant un circuit de commande de propagation de 
report qui realise une commande de propagation de report dans un 

25 additionneur complet selon des unites de bits en utilisant un 
commutateur sur lequel un signal de selection et un signal de sortie de 
report sont entres. 

Dans I'appareil arithmetique de la presente invention, le circuit 
de commande de propagation de report comprend un seiecteur qui 

30 realise une commutation entre remission en sortie d'un resultat OU- 
exclusif de deux entrees dans un additionneur complet selon des unites 
de bits en tant que r6sultat d'addition et remission en sortie d'un r6sultat 
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OU-exclusif du resultat c et d'un report d'entree en tant que resultat 
d'addition. 

Selon la presente invention, est propose un appareil 
arithmetique comprenant un circuit d'additionneur pour realiser une 
5 addition en propageant un report lors de I'execution d'une operation de 
multiplication basee sur les entiers et pour realiser une addition sans 
propager un quelconque report lors de I'execution d'une operation de 
multiplication basee sur champ fini GF (2 A m). Selon la presente 
invention, une operation de multiplication basee sur les entiers et une 

10 operation arithmetique basee sur champ fini GF (2 A m) peuvent toutes 
deux etre executees de facon fiable en relation avec une partie 
d'addition d'une operation de produit-somme. 

Selon la presente invention, on propose un appareil de 
traitement cryptographique permettant de r6aliser une commutation 

15 entre un cryptage ou un decryptage sur la base d'une operation basee 
sur les entiers qui est realisee par un appareil arithmetique et un 
cryptage ou un decryptage sur la base d'une operation arithmetique 
basee sur champ fini GF (2 A m) qui est realisee par I'appareil 
arithmetique. 

20 La presente invention peut realiser a la fois un traitement 

cryptographique base sur une operation basee sur les entiers tel qu'une 
operation cryptographique RSA et un traitement cryptographique base 
sur une operation arithmetique basee sur champ fini GF (2 A m) tel 
qu'une operation cryptographique de courbe elliptique. 

25 Selon la presente invention, on propose un appareil arithmetique 

comprenant une section arithmetique incluant un circuit d'operation de 
produit-somme sur des nombres longs pouvant executer une 
multiplication modulaire avec une expression basee sur polyndme d'un 
champ fini GF (2 A m) et une section de commande qui commande le 

30 circuit d'operation de produit-somme pour executer une multiplication 
modulaire suite a la division de la multiplication modulaire selon un 
traitement de multiplication et un traitement modulo. 
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Selon Tappareil arithmetique de la pr6sente invention, puisque le 
circuit d'op6ration de produit-somme sur des nombres longs realise une 
multiplication modulaire en lieu et place d'un registre a decalage & 
retour lineaire, un degr6 arbitrage 6gal ou superieur & I'unite peut etre 
5 utilise. Par consequent, meme si le degr6 d'un champ fini GF (2 A m) 
augmente, une operation arithmetique peut etre ex6cutee sans modifier 
la configuration de I'appareil. 

Selon la pr6sente invention, le circuit d f op6ration de produit- 
somme comprend un circuit de multiplicateur simple precision configure 

10 pour multiplier des donn6es de polyndme de la base polyndme basee 
sur champ fini GF (2 A m) sans propager un quelconque report et un 
circuit d'additionneur double precision configure pour additionner en 
utilisant un resultat de multiplication obtenu au moyen du circuit de 
multiplicateur, et I'unite de commande commande le circuit de 

15 multiplicateur et le circuit d'additionneur lors du traitement de 
multiplication. 

Selon la presente invention, est propose un appareil 
arithmetique comprenant un circuit d'acquisition de quotient qui est 
commande par I'unite de commande, pour etablir le resultat de 

20 multiplication de deux donnees de polynome en tant que donn6es de 
polynome de premier dividende dans un modulo, pour etablir des 
donnees de polynome modulo predeterminees en tant que donnees de 
polynome de diviseur, pour calculer un quotient sur la base des 
donnees de polynome de premier dividende ou de dividende suivant et 

25 des donn6es de polynome de diviseur et pour acqu6rir des donnees de 
polynome de quotient d'un bloc, le nombre de bits correspondant a une 
larguer de bus d partir d'un ordre superieur. Dans cet appareil 
arithmetique, Tunite de commande commande le circuit d'acquisition de 
quotient lors d'une multiplication modulaire et commande le circuit de 

30 multiplicateur et le circuit d'additionneur lorsque des donnees de 
polynome de quotient d'un bloc sont acquises. Moyennant cette 
operation, des donn6es de polynome de dividende qui suivent sont 
calcuiees en soustrayant le resultat de multiplication des donnees de 
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polyndme de quotient d'un bloc et des donn£es de polyndme de 
diviseur d partir des donn£es de polynome de dividende courantes et le 
traitement, depuis la commande du circuit d'acquisition de quotient 
jusqu'au calcul des donn£es de polyndme de dividende, est repete, d'ou 
5 ainsi I'obtention de donn£es de reste. 

Dans cet appareil arithm£tique, chaque r£sultat de multiplication 
de donnees de polyndme de quotient d'un bloc et de donn£es de 
polynome de diviseur devient (m + 1) blocs. 

En outre, ce resultat de multiplication est soustrait du (= est 

10 additionne au) polynome de dividende courant afin de calculer les 
donnees de polyndme de dividende qui suivent de (2m - 1*n) blocs (n 
est le nombre de fois des operations de multiplication). C'est-a-dire que 
les donnees de polyndme de dividende qui precedent sont diminuees 
selon des unites de blocs. 

15 A 1'aide de I'unite de commande mentionnee ci-avant, la 

pr6sente invention peut realiser un calcul de quotient et modulo efficace 
en utilisant les caracteristiques des composants materiels. 

Lors d'un calcul de quotient, le circuit d'acquisition de quotient 
de Tappareil arithm^tique de la pr6sente invention multiplie les donnees 

20 d'inversion des deux blocs sup6rieurs des donn6es de polyndme de 
diviseur et les donn§es de polyndme de dividende courantes et etablit le 
second bloc superieur du r6sultat de multiplication en tant que donn6es 
de polyndme de quotient d'un bloc. 

ATaide du circuit d'acquisition de quotient mentionn6 ci-avant, la 

25 presente invention peut extraire une partie de nombre effective 3 partir 
du polyndme de quotient obtenu et par consequent elle peut optimiser 
la precision operatoire. 

Selon la pr6sente invention, est propose un appareil 
arithmetique comprenant un circuit d'acquisition de quotient pour 

30 calculer des donn6es d'inverse d partir des deux blocs sup6rieurs des 
donnees de polyndme de diviseur et pour stacker les donnees dans une 
m6moire lors de Pacquisition de donn6es de polyndme de quotient lors 
d'une premfere operation et pour lire les donnees d'inverse £ partir de la 
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memoire et pour utiliser celles-ci lors de I'acquisition de donn6es de 
polynome de quotient lors d'une seconde operation et des operations 
qui suivent. 

Selon la pr6sente invention, £ I'aide du circuit d'acquisition de 
5 quotient mentionne ci-avant, lorsqu'un modulo redondant est execute 
sous le meme polyndme modulo, un quotient peut etre acquis en lisant 
des donnees d'inversion £ partir de la memoire. Par consequent, le 
temps requis pour calculer des donnees d'inversion peut etre 
economist dans le second calcul de quotient et dans les calculs de 

10 quotient qui suivent, et le temps de traitement pour une operation 
arithmetique de champ fini GF (2 A m) peut etre raccourci. En outre, 
puisque les donn6es diversion peuvent etre calcuiees 3 I'avance, une 
multiplication modulaire bas6e sur champ fini GF (2 A m) peut etre 
realisee en utilisant seulement le circuit d'operation de produit-somme 

15 pour r6aliser des operations de multiplication et d'addition. 

Selon la pr6sente invention, est propose un appareil 
arithmetique comprenant un circuit d'acquisition de quotient pour, lors 
du calcul de donnees d'inverse, compter le nombre de chiffres 0 
consecutifs depuis un ordre sup6rieur de deux blocs sup6rieurs des 

20 donn6es de polyndme de diviseur, extraire des donn6es de polyndme 
d'un bloc +1 bit a partir de bits d'ordre sup6rieur de telle sorte que le bit 
de poids le plus fort soit etabli a 1, obtenir ('inverse des donnees de 
polyndme extraites, obtenir des donnees de deux blocs en tant 
qu'ensemble en concat6nant des donn6es corrigees dont ie bit de poids 

25 le plus faible est de 1 et dont les autres bits sont 0 avec le bit de poids 
le plus fort de Tinverse obtenu et en etablissant en tant que donn6es 
d'inverse un r6sultat obtenu en effectuant un decalage binaire des 
donnees en direction d'un cote d'ordre superieur de la valeur de 
comptage du nombre de 0. 

30 Avec le circuit d'acquisition de quotient mentionne ci-avant f la 

pr6sente invention utilise une valeur corrigee en tant que donnees 
d'inversion afin d'6viter la normalisation d'un diviseur, la correction d'un 
quotient approche et la denormalisation d'un resultat d'operation tel 
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qu'un quotient ou un reste sur la base de I'algorithme de Knuth 
[references : Knuth, D. E., "The Art of Computer Programming", Vol. 2, 
Reading, Mass: Addison Wesley, 2 nde edition, (1981)] qui utilise une 
operation de division simple precision utilisee pour une operation de 
5 division basee sur les entiers longs generate. Le nombre de fois de 
decalages de bits peut par consequent etre diminue, et I'appareil 
arithmetique peut etre optimise. 

Selon la presente invention, est propose un appareil de 
traitement cryptographique permettant de realiser un cryptage ou un 
1 0 decryptage sur la base d'une multiplication modulaire basee sur champ 
fini GF (2 A m) au moyen de I'appareil arithmetique. 

A I'aide de I'appareil arithmetique, la presente invention peut 
realiser un cryptage ou un decryptage sur la base d'une multiplication 
modulaire basee sur champ fini GF (2 A m) telle qu'une operation 
1 5 cryptographique de courbe elliptique. 

BREVE DESCRIPTION DES DESSINS 
La figure 1 est un schema fonctionnel qui represente un 
exemple de I'agencement d'un appareil arithmetique selon le premier 
mode de realisation de la presente invention ; 
20 les figures 2A, 2B et 2C sont des vues qui represented un 

exemple de I'agencement d'un circuit arithmetique unitaire de 4*4 bits 
qui met en ceuvre c'(x) = a(x) * b(x) ; 

les figures 3A, 3B, 3C et 3D sont des vues qui represented un 
exemple de I'agencement d'un circuit arithmetique unitaire de 4*4 bits 
25 qui met en ceuvre une operation de multiplication basee sur les entiers ; 

la figure 4 est un schema fonctionnel qui represente un exemple 
de I'agencement d'un additionneur complet du type report simultane 4 
bits muni d'une fonction de commande de report qui est utilise dans le 
coprocesseur du premier mode de realisation ; 
30 la figure 5 est un schema de circuit qui represente un exemple 

de I'agencement d'un additionneur complet et d'un commutateur de 
commande de report qui sont utilises dans un circuit d'additionneur 
selon le premier mode de realisation ; 
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la figure 6 est un schema de circuit qui represente une 
modification de Tadditionneur complet muni de la fonction de 
commande de report ; 

la figure 7 est un schema de circuit qui represente une autre 
5 modification de I'additionneur complet muni de la fonction de 
commande de report ; 

la figure 8 est un schema fonctionnel qui represente un exemple 
de I'agencement d'un appareil arithmetique selon ie second mode de 
realisation de la presente invention ; 
10 les figures 9A et 9B sont des vues qui repr6sentent un exemple 

de I'agencement d'un circuit arithmetique unitaire 4*4 bits qui met en 
oeuvre un circuit de multiplicateur selon le second mode de realisation ; 

la figure 10 est un schema fonctionnel qui represente un 
exemple de I'agencement de coprocesseur applique a un appareil 
15 arithmetique et a un appareil de traitement cryptographique selon le 
troisieme mode de realisation de la presente invention ; 

la figure 11 est une vue schematique qui represente 
I'agencement d'un circuit d'acquisition de quotient selon le troisieme 
mode de realisation ; 
20 la figure 12 est une vue sch6matique permettant d'expliquer la 

fonction d'une section de calculateur d'inverse selon le troisieme mode 
de realisation ; 

la figure 13 est une vue sch6matique qui repr6sente 
I'agencement de la section de calculateur d'inverse selon le troisieme 
25 mode de realisation ; 

la figure 14 est un organigramme permettant d'expliquer une 
multiplication modulaire pour une base de polynome basee sur champ 
fini GF (2 A m) ; 

la figure 15 est une vue sch6matique qui represente un calcul 
30 sur papier pour expliquer un modulo selon le troisieme mode de 
realisation ; 
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la figure 16 est une vue schematique qui represente le 
traitement realise par une unite arithmetique selon le troisieme mode de 
realisation ; 

la figure 17 est une vue qui represente les nombres requis 
5 d'horloges pour des commandes selon le troisieme mode de 
realisation ; 

la figure 18 est une vue qui represente les nombres requis 
d'horloges pour des operations GF (2 160 ) operations selon le troisieme 
mode de realisation ; 
10 la figure 19 est une vue qui represente les dimensions de circuit 

de coprocesseurs selon le troisieme mode de realisation ; 

la figure 20 est une vue qui represente des dimensions de 
circuits additionnels selon le troisieme mode de realisation ; 

la figure 21 est une vue qui represente les dimensions de 
15 circuits de coprocesseurs concus sp6cifiquement pour des operations 
GF (2 m ) a titre de comparaison selon le troisieme mode de realisation ; 

la figure 22 est un schema fonctionnel qui represente un 
exemple de I'agencement d'un coprocesseur applique a un appareil 
arithmetique et a un appareil de traitement cryptographique selon le 
20 quatrieme mode de realisation de la presente invention ; 

la figure 23 est un schema fonctionnel qui represente un LSI de 
carte IC incluant un coprocesseur de traitement cryptographique ; 

la figure 24 est un schema fonctionnel qui represente un 
exemple de I'agencement d'une partie de coprocesseur d'un LSI pour 
25 realiser une operation basee sur les entiers ; 

la figure 25 est un schema fonctionnel qui represente un 
exemple de I'agencement de composants materiels d'un coprocesseur 
pour realiser une operation arithmetique de champ fini GF (2 A m) d'une 
base polynome ; 

30 la figure 26 est un schema fonctionnel qui represente un circuit 

de multiplicateur base sur champ fini GF (2 A m) appele champ 
cyclotomique ; et 
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la figure 27 est un schema fonctionnel qui repr6sente 
I'agencement d'un registre d decalage £ retour lineaire LFSR general ; 
DESCRIPTION DETAILLEE DE ^INVENTION 
Chaque mode de realisation de la pr6sente invention sera d6crit 
5 ci-apres par report aux vues des dessins annexes. 
(Premier mode de realisation) 

La figure 1 est un schema fonctionnel qui represente un 
exemple de I'agencement d'un appareil arithmetique selon le premier 
mode de realisation de la presente invention. 
10 Un appareil arithmetique de ce mode de realisation qui est form6 

en tant que coprocesseur 1 est un appareil de multiplicateur de produit- 
somme de nombres longs permettant de r6aliser a la fois une operation 
de multiplication bas6e sur les entiers et une operation de multiplication 
bas6e sur champ fini GF (2 A m). Cet appareil execute d'autres 
15 operations, telles que des operations d'addition, d'elevation au carr6 et 
diversion en commandant ce traitement de multiplication. En 
incorporant cet appareil arithmetique dans un LSI ou similaire, un 
appareil de traitement cryptographique permettant de realiser 3 la fois 
un systeme cryptographique RSA et un systeme cryptographique a 
20 courbe elliptique est forme. Dans ce cas, par exemple, le LSI dans 
lequel Tappareil arithmetique doit etre incorpore est Tappareil 
repr6sent6 sur la figure 23. 

Dans ce coprocesseur 1, une unite arithmetique 4 est 
commandee par une unite de controleur 5 afin d'entrer/emettre en sortie 
25 des donnees par I'intermediaire d'un bus de donnees de 32 bits 3, 
sur/depuis une memoire 2 pour stocker des donnees au fil d'une 
operation. 

Des donn6es d'entree en provenance du bus de donnees 3 sont 
stockees dans des tampons 17Z, 17Y et 17X et des donnees de sortie 
30 sur le bus de donnees 3 sont stockees dans un tampon 17R. 

Les donnees d'entree X et Y sont des donnees de 
multiplicande/multiplicateur. Parmi ces donnees, les donn6es Y sont 
entrees sur un tampon en tant que donnees divisees selon des unites 
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constitutes par des chiffres predetermines afin d'empecher qu'une 
operation de multiplication de beaucoup de chiffres ne soit realisee en 
une seule fois. Les donnees Z sont un resultat intermediate qui est 
produit du fait qu'une operation de multiplication est executee selon une 
5 pluralite d'etapes. Ces donnees sont additionnees au produit de XY et 
un debordement appele un report C est additionne a la somme, ce qui 
paracheve un cycle. Les donnees R obtenues en otant le report des 
donnees resultantes sont emises en sortie sur le bus de donnees 3 par 
I'intermediaire du tampon R en vue d'une utilisation en tant que 

10 donnees Z pour une operation lors du cycle suivant. En repetant ce 
cycle une pluralite de fois, une operation de multiplication d'entiers 
longs ou une operation de multiplication basee sur champ fini GF (2 A m) 
("c"' comme decrit ulterieurement dans un sens strict) est realisee. 

Afin de realiser I'operation mentionnee ci-avant, en plus des 

15 tampons 17X, 17Y, 17Z et 17R, le coprocesseur 1 inclut un circuit de 
multiplicateur base sur les entiers 1 1 , un circuit de multiplicateur base 
sur champ fini GF (2 A m), un selecteur 13, un circuit d'additionneur 14, 
un circuit d'additionneur 15, un dispositif de blocage de report 16 et 
I'unite de contrdleur 5. 

20 Le circuit de multiplicateur base sur les entiers 11 realise une 

operation de multiplication basee sur les entiers pour les donnees X 
dans le tampon 17X et pour les donnees Y dans le tampon 17Y et emet 
en sortie le resultat sur le selecteur 13. 

Le circuit de multiplicateur bas6 sur champ fini GF (2 A m) 12 

25 execute une partie (c') d'une operation de multiplication basee sur 
champ fini GF (2 A m) en utilisant les donnees X dans le tampon 17X et 
les donnees Y dans le tampon 17Y et il emet en sortie le resultat sur le 
selecteur 13. 

Le selecteur 13 emet en sortie les donnees qui sont emises en 
30 sortie depuis le circuit de multiplicateur base sur les entiers 11 ou 
depuis le circuit de multiplicateur base sur champ fini GF (2 A m) 12 sur 
le circuit d'additionneur 14 conformement a un signal S1 en provenance 
de I'unite de controleur 5. 
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Le circuit d'additionneur 14 est un additionneur complet qui 
additionne les donnees Z dans le tampon 17Z a la sortie de selecteur et 
qui emet en sortie la somme sur le circuit d'additionneur 15. Dans ce 
circuit d'additionneur 14, une addition basee sur les entiers et une 
5 addition basee sur champ fini GF (2 A m) sont commutees conformement 
au signal de commande S1. Cette commutation d'addition sera decrite 
ulterieurement. 

Le circuit d'additionneur 15 additionne le report C bloque dans le 
dispositif de blocage de report 16 a la sortie en provenance du circuit 

10 d'additionneur 14. Le circuit d'additionneur 1 5 emet ensuite en sortie les 
32 bits sup6rieurs de la somme en tant que report suivant C sur le 
dispositif de blocage de report 16 et emet 6galement en sortie sur un 
tampon 17R les 8 bits inferieurs en tant que donnees R qui sont le 
resultat d'operation lors de ce cycle. Dans le circuit d'additionneur 15 

15 egalement, une addition basee sur les entiers et une addition basee sur 
champ fini GF (2 A m) sont commutees conformement au signal de 
commande S1. 

Le dispositif de blocage de report 16 bloque le report C qui est 
emis en sortie depuis le circuit d'additionneur 15 et applique le report 

20 bloque C sur le circuit d'additionneur 15 lors du cycle operatoire suivant. 

L'unite de controleur 5 comprend un controleur arithmetique 
d'entiers 21 et un controleur arithmetique de champ fini GF (2 A m) 22. 
L'unite de controleur 5 commande l'unite arithmetique 4 conformement 
£ I'un de ces groupes de commande. Cette commutation de commande 

25 est n§alisee conformement a une commande en provenance d'une CPU 
externe (par exemple la CPU de la figure 23). 

Le controleur arithmetique d'entiers 21 commande l'unite 
arithmetique 4 de telle sorte qu'elle fonctionne en tant que multiplicateur 
base sur les entiers longs. Dans ce but, le signal de commande S1 

30 commande le selecteur 13 afin d'emettre en sortie les donnees en 
provenance du circuit de multiplicateur base sur les entiers 11 sur le 
circuit d'additionneur 14 et commande Egalement les circuits 
d'additionneur 14 et 15 afin de faire en sorte qu'ils fonctionnent en tant 
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que circuit d'additionneur base sur les entiers. Le controleur 
arithmetique d'entiers 21 execute d'autres processus arithmetiques tels 
que les quatre operations fondamentales de I'arithmetique en 
commandant le fonctionnement de I'unite arithmetique 4 en tant que 
5 multiplicateur base sur les entiers. 

Le contrdleur arithmetique de champ fini GF (2 A m) 22 
commande I'unite arithmetique 4 afin de la faire fonctionner en tant que 
multiplicateur base sur champ fini GF (2 A m). A cette fin, le signal de 
commande S1 commande le selecteur 13 afin d'emettre en sortie les 

10 donnees emises en sortie depuis le circuit de multiplicateur base sur les 
entiers 11 sur le circuit d'additionneur 14 et commande egalement les 
circuits d'additionneur 14 et 15 afin de faire en sorte qu'ils fonctionnent 
en tant que circuit d'additionneur base sur champ fini GF (2 A m). En 
outre, le controleur arithmetique de champ fini GF (2 A m) 22 realise des 

15 operations d'addition et d'el6vation au carre en commandant le 
fonctionnement de I'unite arithmetique 4 en tant que multiplicateur base 
sur champ fini GF (2 A m). 



I'unite de controleur 5 commande les sections respectives en emettant 
20 en sortie un signal de commande S2. 

Le fonctionnement de I'appareil arithmetique selon ce mode de 
realisation qui pr^sente I'agencement pr6sente ci-avant sera decrit 
ensuite. 

Dans cet appareil arithmetique (le coprocesseur 1 ), le circuit de 
25 multiplicateur 12, le selecteur 13 et similaire sont incorpores en tant 
qu'appareil de multiplicateur base sur les entiers pour realiser le 
traitement qui est a realiser par un appareil de multiplicateur bas6 sur 
champ fini GF (2 A m). Dans ce cas, conformement a un champ fini GF 
(2 A m), un polynfime d'ordre (m-1) peut etre exprime en utilisant un 
30 vecteur de m bits comme suit : 



Afin de realiser les processus respectifs qui sont decrits ci-avant, 




+ ... + b,x + b 0 ... (2) 



+ aix + ao ... (1) 
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= [b m . 1f b 1f b 0 ] 

Dans ce cas, une operation de multiplication bas6e sur champ 
fini GF (2 A m) est une multiplication modulaire avec un polyndme 
irreductible d'ordre m f(x) sur GF (2 m ) qui est etabli en tant que module. 
5 En outre, un produit c(x) de 2 inconnues a(x) et b(x) de Textension de 
champ de 2 est defini comme suit : 

c(x) = a(x) . b(x) mod f(x) (3) 
= Z a k x k b(x) mod f(x) 

= Cm.! X m ' 1 + C^X^ 2 + ... + d X + C 0 
10 = [^.L C 1t C 0 ] 

En outre, un polyndme modulo f(x) peut etre exprim£ comme 

suit : 

f(x) =f m x m +f m . l x m1 + ... +f lX + f 0 (4) 

= [fm. frn-1. fli fa] 

15 Lors d'une operation de multiplication de polyndme basee sur 

champ fini GF (2 A m) general, un registre £ decalage base sur une 
operation de decalage de cycle de multiplicateur est form6 et un 
polyndme de reste apr£s m d^calages de cycle est etabli en tant que 
r6sultat de multiplication. Cependant, selon ce mode de realisation, ce 

20 traitement est r6alis6 en modifiant I§g6rement un circuit d'op^ration de 
produit-somme sur des nombres longs largement utilise dans un LSI de 
traitement cryptographique base sur les entiers. 

II est 3 noter que lorsque le coprocesseur 1 fonctionne en tant 
qu'appareii arithmetique bas6 sur les entiers conform6ment au signal de 

25 commande S1 en provenance de I'unite de contrdleur 5, cet appareil 
arithmetique fonctionne en tant que circuit d'op6ration de produit- 
somme sur des nombres longs. Dans ce circuit d'op£ration de produit- 
somme sur des nombres longs, le circuit de multiplicateur base sur 
champ fini GF (2 A m) calcule une equation (5) en tant que partie d'une 

30 operation de multiplication basee sur champ fini GF (2 A m) suite £ une 
commutation bas6e sur le signal de commande S1 : 

c'(x) = a(x) b(x) ...(5) 
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II est a noter que le circuit de multiplicateur base sur champ fini 
GF (2 A m) 12 ne calcule pas la partie "c(x)' mod f(x)" de I'equation (6) au 
niveau de I'etape de calcul de c'. C'est-a-dire que c' lui-m£me est 
calcule de la meme manfere que le produit de deux nombres lors d'une 
5 operation de multiplication bas£e sur les entiers en commutant 
seulement le circuit de multiplicateur 12 et les circuits d'additionneur 14 
et 15 en utilisant le signal de commande S1. 

II est d noter que le multiplicateur de m bits et le multiplicande de 
c'(x) = a(x) b(x) sont divis6s selon des donnees de 32 bits et sont lus a 
10 partir de la memoire et que le resultat d'op6ration est 6crit dans la 
m£moire selon des unites de 32 bits. Le r&sultat d'operation final 
devient des donn6es de 2m bits. 

L'opgration bas6e sur les entiers qui est realis&e par le circuit de 
multiplicateur bas£ sur les entiers 1 1 differe de Toperation de polyndme 
15 bas6e sur champ fini GF (2 A m) r6alisee par le circuit de multiplicateur 
bas6 sur champ fini GF (2 A m) en la presence/l'absence d'un report. 
Lors de fop6ration bas6e sur les entiers, une expression logique 
d'addition est : 

0 + 0 + Report (=0) = 0, Report = 0 ...(6) 
20 1 + 0 + Report (=0) = 1 , Report = 0 

1 + 1 + Report (=0) = 0, Report = 1 

De cette mantere, l'op6ration doit consid6rer un report a partir d'un bit 
inferieur. A Toppos6 de cela, dans un systeme algebrique bas6 sur 
champ fini GF (2 A m), puisque chaque bit represente le coefficient de 

25 chaque terme d'un polynorne, aucune consideration n'a besoin d'etre 
apport6e un report jusqu'a un ordre different. 

En consideration de ce qui precede, selon ce mode de 
realisation, chaque unite arithmetique bas6e sur les entiers 
(multiplicateur ou additionneur) est commutee entre le mode normal qui 

30 permet une propagation de report et le mode execution sans 
propagation de report. Dans ce cas, le mode inhibition (non execution) 
de propagation de report est utilise pour r£aliser une operation 
arithmetique de champ fini GF (2 A m). La dimension d'un circuit £ 
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additionner pour commuter les modes de propagation de report est 
petite par comparaison avec la dimension de circuit totale. 

Les figures 2A, 2B et 2C represented un exemple de 
I'agencement d'un circuit arithmetique unitaire 4*4 bits qui met en 
5 ceuvre c'(x) = a(x) . b(x). 

Le circuit de multiplicateur base sur champ fini GF (2 A m) 12 de 
la figure 1 est obtenu en formant le dispositif d'operation unitaire 
represente sur la figure 2A selon un agencement a 8*32 bits. II est a 
noter que le circuit represent6 sur la figure 2B correspond a une section 
10 d'entree 29 du circuit de la figure 2A. 

Les figures 3A, 3B, 3C et 3D represented un exemple de 
I'agencement d'un circuit arithmetique unitaire 4*4 bits qui met en 
ceuvre une operation de multiplication basee sur les entiers. 

Le circuit de multiplicateur base sur les entiers 1 1 represente sur 
15 la figure 1 est obtenu en formant I'appareil arithmetique unitaire des 
figures 3A a 3D selon un agencement a 8*32 bits. La figure 3C 
represente I'agencement d'un additionneur complet FA qui est utilise 
sur la figure 3A. La figure 3D represente I'agencement d'un report 31 de 
I'additionneur complet FA sur la figure 3C. La figure 3B represente une 
20 section d'entree 30 du circuit de la figure 3A. 

Dans I'appareil arithmetique de ce mode de realisation, le circuit 
de multiplicateur base sur champ fini GF (2 A m) 12 et le circuit de 
multiplicateur base sur les entiers 1 1 sont adjacents du point de vue 
logique Tun a I'autre et ces circuits 11 et 12 sont selectionnes 
25 conformement au signal de commande S1 qui est gener6 depuis une 
commande d'operation arithmetique de champ fini GF (2 A m) en 
provenance de I'unite de contr6leur 5, d'ou la realisation d'un traitement 
approprie. 

Une sortie en provenance du selecteur 13 est entree sur le 
30 circuit d'additionneur 14. Dans ce cas, le circuit d'additionneur Z + (Y*X) 
14 est un additionneur complet pour additionner des donnees de 40 bits 
(Y*X) et des donnees de 8 bits Z. Dans ce cas egalement, une addition 
basee sur champ fini GF (2 A m) est realisee en additionnant un 
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commutateur pour emp£cher qu'un report du r6sultat obtenu en 
additionnant les bits respectifs ne soit propag6 jusqu'a I'etage suivant 
conformement au signal de commande mentionne ci-avant. 

La figure 4 est un schema fonctionnel qui represente un 
5 exemple de Pagencement d'un additionneur complet du type report 
simultane 4bits comportant une fonction de commande de report qui est 
utilis6 dans le coprocesseur de ce mode de realisation. 

Le circuit d'additionneur 14 represente sur la figure 1 est obtenu 
en etendant I'additionneur complet pr6sentant cet agencement selon un 
10 circuit capable d'additionner des donn6es de 40 bits et des donn6es de 
8 bits. 

Dans le circuit represente sur la figure 4, des commutateurs 33 
sont agenc6s entre les additionneurs complets 32 afin de commander la 
propagation de report. 

15 La figure 5 represente un exemple de I'agencement d'un 

additionneur complet et d'un commutateur de commande de report qui 
sont utilises dans le circuit d'additionneur selon ce mode de realisation. 

L'additionneur complet 32 et le commutateur 33 constituent un 
additionneur complet 42 comportant une fonction de commande de 

20 report pour un bit. Dans ce cas, I'additionneur complet 32 pr£sente le 
m§me agencement que celui de I'additionneur complet FA de la figure 
3C et le report 31 dans I'additionneur complet 32 pr6sente le m£me 
agencement que celui du report de la figure 3D. 

Le commutateur 33 qui est connecte & une ligne de propagation 

25 de report dans Tadditionneur complet 32 est command^ par le signal de 
commande S1 en provenance de Tunit6 de controleur 5. Lorsqu'une 
operation bas6e sur des entiers doit etre r6alisee, le commutateur 33 
est connecte. Lorsqu'une operation arithmetique de champ fini GF 
(2 A m) doit etre r6alis6e, le commutateur 33 est deconnecte. 

30 La sortie (Z + (Y*X)) en provenance du circuit d'additionneur 14 

presentant Tagencement mentionne ci-avant est propagee sur le circuit 
d'additionneur 1 5. 
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Le circuit d'additionneur C + Z + (Y*X) 1 5 au niveau du dernier 
etage du bloc d'operation arithmetique emet en sortie les 8 bits 
inferieurs des 40 bits en tant que resultat de multiplication en tant que 
donnees R et additionne les 32 bits superieurs a Z + (Y*X) lors du cycle 
5 suivant. 

De facon similaire au circuit d'additionneur 14, le circuit 
d'additionneur 15 est un additionneur complet comportant une fonction 
de commande de report representee sur la figure 4, comme commande 
par le signal de commande S1. Par consequent, dans le mode 

1 0 operation basee sur les entiers, le circuit d'additionneur 1 5 joue le role 
d'additionneur complet regie sur le LSB (le bit le plus faible) afin 
d'executer une addition basee sur les entiers. Dans le mode operation 
arithmetique de champ fini GF (2 A m), le circuit d'additionneur 15 
execute une addition basee sur champ fini GF (2 A m). 

1 5 Les donnees de sortie R en provenance du circuit d'additionneur 

1 5 sont stockees temporairement dans la memoire 2 par I'intermediaire 
du bus de donnees 3. Ces donnees deviennent les donnees Z a 
nouveau et elles retournent au coprocesseur 1 et une operation de 
multiplication basee sur les entiers ou une operation de multiplication 

20 basee sur champ fini GF (2 A m) est poursuivie. Cette operation est 
repetee le nombre de fois qui correspond au nombre requis de cycles, 
d'ou ainsi I'obtention d'un resultat de multiplication. 

Dans ce cas, le resultat de I'equation (5) peut etre obtenu 
conformement a une commande de multiplication basee sur champ fini 

25 GF (2 A m), et une operation de multiplication basee sur champ fini GF 
(2 A m) est terminee par une multiplication modulaire avec le polyndme 
irreductible f(x) en tant que module comme defini par I'equation (6). De 
facon similaire a une division sur le papier, la multiplication modulaire 
peut etre realisee en repetant le traitement constitue par ('acquisition 

30 d'un quotient a partir des chiffres superieurs d'un dividende et par la 
soustraction du dividende courant du produit du quotient courant et d'un 
diviseur (dans un champ d'extension 2, la soustraction et I'addition sont 
realisees de la meme maniere) le nombre de fois correspondant au 
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nombre requis de cycles. Ce traitement peut etre realist en executant 
une commande de multiplication bas&e sur champ fini GF (2 A m) et une 
commande d'addition (cette operation sera d6crite en detail selon le 
troisteme mode de realisation). Une operation d'elevation au carre 
5 bas6e sur champ fini GF (2 A m) peut etre r6alis6e au moyen du m§me 
traitement que celui pour une operation de multiplication. Une operation 
d'inversion peut etre r6alis6e en repetant de fagon mutuelle des 
operations de multiplication et d'elevation au carre. 

Un cas selon lequel I'unite arithmetique 4 fonctionne en tant 
10 qu'additionneur bas6 sur champ fini GF (2 A m) conform6ment d une 
commande d'addition bas6e sur champ fini GF (2 A m) sera decrit ci- 
apres. 

De fa?on similaire & une addition de polyndme generate, 
Taddition bas6e sur champ fini GF (2 A m) est r6alisee en additionnant 
15 les coefficients du m6me ordre comme suit : 

c(x) = a(x) + b(x) ...(7) 

- [a m .i + bm-t, a m _ 2 + b m . 2> , a 0 + bo] 
Dans ce cas, la somme des coefficients des ordres respectifs 
est 0 + 0 = 1 +1=0 et 0+1 = 1 + 0 = 1, et il s'ensuit qu'aucun report 
20 n'est produit a la difference d'une addition basee sur les entiers. Par 
consequent, une addition bas6e sur champ fini GF (2 A m) peut etre de 
fagon generate mise en ceuvre au moyen de in portes OU-exclusif. 

Dans un apparetl de multiplicateur base sur les entiers, une 
addition peut etre traitee en tant que c = b + a*1. Selon ce mode de 
25 realisation, par consequent, une addition basee sur champ fini GF 
(2 A m) est egalement ex6cutee en tant que c(x) = b(x) + a(x) * 1 en 
utilisant cet algorithme sans de quelconques modifications. Cette 
operation arithmetique peut etre realisee en realisant une commutation 
sur la base du signal de commande S1 du fait que les additionneurs 
30 complets representes sur la figure 4 sont utilises pour les circuits 
d'additionneur 14 et 15. 

En outre, Iqrs de la commutation d'une operation en utilisant le 
signal de commande S1, le coprocesseur 1 devient un circuit qui 
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dispose de la m§me fonction que celle du coprocesseur repr6sente sur 
ia figure 4, d'ou la realisation d'une operation bas6e sur les entiers 
ggalement. 

Comme decrit ci-avant, dans I'appareil arithmetique selon ce 
5 mode de realisation de la presente invention, le dispositif de 
multiplicateur base sur les entiers inclut le dispositif de multiplicateur 
unitaire pour une operation de multiplication bas6e sur les entiers et le 
dispositif arithmetique unitaire pour une operation de multiplication 
basee sur champ fini GF (2 A m), qui pr6sente un agencement de circuit 

10 similaire a celui de I'appareil de multiplicateur unitaire, et une 
commande d'op6ration arithmetique de champ fini GF (2 A rn) est 
additionnee d une commande de multiplication bas£e sur les entiers. En 
outre, cet appareil inclut le selecteur commande par un signal de 
commande qui est g6n6r6 a partir d'une commande arithmetique de 

15 champ fini GF (2 A m) et le commutateur pour commander la propagation 
d'un report en sortie de chaque bit de I'additionneur complet. L'appareil 
arithmetique de la presente invention peut par consequent ex6cuter a la 
fois une operation basee sur les entiers et une operation arithmetique 
de champ fini GF (2 A m) sans utiliser un quelconque dispositif de 

20 multiplicateur base sur champ fini GF (2 A m) s6quentiel qui utilise un 
registre a decalage classique. 

Un acceierateur de traitement cryptographique par cie publique 
permettant d'ex6cuter des operations d'addition et de multiplication 
basees sur champ fini GF (2 A m) en utilisant un circuit d'operation de 

25 produit-somme sur des nombres longs peut par consequent etre 
constitue en additionnant de petits nombres destructions et de circuits 
en tant que fonctions d'extension additionnelles a une unite 
arithmetique basee sur les entiers classique. II est a noter que la 
dimension de circuit requise pour r6aliser ce mode de realisation est 

30 faible par comparaison avec la dimension de circuit totale. 

Conformement £ I'appareil de traitement cryptographique de ce 
mode de realisation, un LSI comportant des fonctions abondantes 
permettant de manipuler le systeme cryptographique a courbe elliptique 
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bas6 sur champ fini GF (2 A m) ainsi que le systeme RAS bas6 sur les 
entiers peut £tre constitu6 en tant que coprocesseur de traitement 
cryptographique sans augmenter de fa?on sp6cifique I'aire de mise 
sous module. Un appareil de cryptage/decryptage permettant de 
5 manipuler d la fois un systeme cryptographique RAS et un systeme 
cryptographique & courbe elliptique peut etre mis en oeuvre mSme dans 
un appareil disposant d'une aire de mise sous module faible, tel qu'une 
carte IC. 

Les additionneurs complets qui disposent de fonctions de 

10 commande de report et qui constituent les circuits d'additionneur 14 et 
15 repr6sentes sur la figure 4 seront decrits. 

La figure 6 repr6sente un autre additionneur complet disposant 
d'une fonction de commande de report. 

Tout comme le circuit de la figure 5, cet additionneur complet 43 

15 disposant de la fonction de commande de report comprend un 
commutateur 33 et un additionneur complet 32. Cependant, dans le 
circuit de la figure 6, le commutateur 33 est prevu sur le cote d'entr6e 
d'un report 31 a la difference du circuit de la figure 5 dans lequel le 
commutateur 33 est pr6vu sur le cote de sortie du report 31 . 

20 La figure 7 represente encore un autre additionneur complet 

comportant une fonction de commande de report. 

Cet additionneur complet 44 disposant de la fonction de 
commande de report realise une commande de report en commandant 
la selection d'un r£sultat d'addition en tant que sortie. De fa?on 

25 davantage sp6cifique, un commutateur 33 f est un selecteur qui 
selectionne une sortie en provenance d'une porte OU-exclusif 35 ou 
d'une porte OU-exclusif 36 sur la base du signal de commande S1. Un 
additionneur complet du type report simultan6 obtenu en connectant 
ces additionneurs complets peut commander une propagation de report 

30 conformement au signal de commande S1 . 

On suppose que le signal de commande S1 de la figure 7 est un 
signal de commande qui est bas6 sur une commande d'op6ration 
arithmetique de champ fini GF (2 A m). Dans ce cas, si le signal S1 vaut 
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"1", des sorties a et b en provenance de la porte OU-exclusif 35 
deviennent des resultats d'op6ration. En tant que consequence, 
I'additionneur complet 44 fonctionne en tant qu'additionneur base sur 
champ fini GF (2 A m). Si le signal S1 vaut "0", une sortie en provenance 
5 de I'additionneur complet 44 devient un resultat d'operation. En tant que 
consequence, I'additionneur complet 44 fonctionne en tant 
qu'additionneur base sur les entiers. 
(Second mode de realisation) 

La figure 8 represente un exemple de I'agencement d'un 

10 appareil arithmetique selon le second mode de realisation de la 
presente invention. Les mSmes index de reference que sur la figure 1 
represented les memes parties sur la figure 8 et leur description sera 
omise. Seulement les parties differentes seront decrites ci-apres. II est 
d noter qu'une description repetitive sera evitee dans chaque mode de 

1 5 realisation decrit ci-apres. 

Un coprocesseur 1' en tant que cet appareil arithmetique 
presente le m6me agencement que celui selon le premier mode de 
realisation d ceci pres qu'il comporte un circuit de multiplicateur 41 en 
lieu et place du circuit de multiplicateur bas6 sur les entiers 11, du 

20 circuit de multiplicateur base sur champ fini GF (2 A m) 12 et du seiecteur 
1 3 de la figure 1 . 

Ce circuit de multiplicateur 41 est congu pour commuter le mode 
multiplication base sur les entiers et le mode multiplication base sur 
champ fini GF (2 A m) (seulement c' au niveau de liquation (6)) 

25 conform6ment d un signal de commande S1 en provenance d'une unite 
de controleur 5. 

Les figures 9A et 9B repr6sentent un exemple de I'agencement 
d'un circuit arithmetique unitaire 4*4 bits permettant de realiser le circuit 
de multiplicateur de ce mode de realisation. Dans la pratique, le circuit 
30 de multiplicateur 41 est realise en formant le dispositif arithmetique 
unitaire represente sur les figures 9A et 9B selon un dispositif 
presentant une configuration 8*32 bits. Le circuit de la figure 9B 
represente une section d'entree 29 du circuit de la figure 9A. 
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Comrne represente sur la figure 9A, le circuit de multiplicateur 
41 utilise Tadditionneur cornplet 42 comportant la fonction de 
commande de report selon la figure 5 en tant qu'additionneur complet et 
il s'ensuit qu'il peut commander la propagation de report conform6ment 
5 au signal de commande S1. La commutation du mode multiplication 
basee sur les entiers et du mode multiplication bas6e sur champ fini GF 
(2 A m) peut etre realisee au moyen d'une commande d*op6ration 
arithmetique de champ fini GF (2 A m). 

L'appareil arithmetique de ce mode de realisation peut par 
10 consequent fonctionner d'une maniere similaire & celle du premier mode 
de realisation. 

Comme decrit ci-avant, l'appareil arithmetique et Pappareil de 
traitement cryptographique selon ce mode de realisation de la pr£sente 
invention utilisent le circuit de multiplicateur 41 en lieu et place du circuit 

15 de multiplicateur base sur les entiers 11, du circuit de multiplicateur 
base sur champ fini GF (2 A m) 12 et du selecteur 13 et mettent en 
ceuvre les fonctions des circuits 11, 12 et 13 en utilisant un seul circuit 
41. En plus d'effets similaires ci ceux du premier mode de realisation, ce 
mode de realisation peut realiser un commutation entre Pop6ration de 

20 multiplication bas6e sur les entiers et I'operation de multiplication bas6e 
sur champ fini GF (2 A m) en utilisant moins de circuits additionnels. 

Selon ce mode de realisation, I'additionneur complet represente 
sur la figure 5 est utilise en tant qu'additionneur complet 42 comportant 
la fonction de commande de report. Cependant, I'additionneur complet 

25 43 ou 44 comportant une fonction de commande de report represente 
sur la figure 6 ou 7 peut etre utilise en lieu et place de I'additionneur 
complet 42 comportant une fonction de commande de report. 
(Troisi6me mode de realisation) 

La figure 10 est un schema fonctionnel qui represente un 

30 exemple de Tagencement d'un coprocesseur applique a un appareil 
arithmetique et d un appareil de traitement cryptographique selon le 
troisieme mode de realisation de la presente invention. 
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Ce mode de realisation est un exemple concret de la section 
modulo du premier mode de realisation. Comme represents sur la 
figure 10, une unite de controleur 5 inclut un controleur arithmetique de 
champ fini GF (2 A m) 22a comportant une fonction modulo additionnee a 
5 la fonction mentionnee ci-avant et un circuit d'acquisition de quotient 50 
qui est commande par la fonction modulo et qui comporte une section 
de calculateur d'inverse 51 . 

Dans ce cas, en plus de la fonction mentionnee ci-avant 
consistant a commander une unite arithmetique 4 pour obtenir un 

10 resultat de multiplication c'(x) de I'equation (5). le contrdleur 
arithmetique de champ fini GF (2 A m) 22a dispose de la fonction 
consistant a commander I'unite arithmetique 4 et le circuit d'acquisition 
de quotient 50 pour executer un modulo pour ce resultat de 
multiplication c'(x) en utilisant un polyndme modulo f(x). Plus 

1 5 sp6cifiquement, la fonction de commande inclut la fonction consistant a 
entrer/emettre en sortie des donnees sur/depuis une memoire 2 et des 
tampons 17X, 17Y, 17Z et 17R sur la base de I'algorithme operatoire 
qui sera decrit ulterieurement et la fonction consistant a generer 
diverses commandes telles qu'une commande de multiplication, une 

20 commande d'addition et une commande d'operation d'inversion et a les 
appliquer sur des circuits arithmetiques correspondants conformement 
a I'operation d'entree/sortie. 

Le circuit d'acquisition de quotient 50 est utilise pour calculer un 
quotient en divisant le polyndme de dividende c'(x) par le polyndme de 

25 modulo f(x) en tant que partie d'un modulo. Dans ce cas, le circuit 
d'acquisition de quotient 50 dispose de la fonction consistant a obtenir 
le quotient mentionne ci-avant en multipliant un inverse p(x) du 
polyndme modulo f(x) et le polynome de dividende c'(x). 

Plus specifiquement, le circuit d'acquisition de quotient 50 est 

30 commande par le controleur arithmetique de champ fini GF (2 A m) 22a 
et il dispose de la fonction consistant a appliquer les deux blocs 
superieurs (Fi_-i( X ), F|_-2(x)) du polyndme modulo f(x) dans la memoire 2 
sur la section de calculateur d'inversion 51 seulement a un instant du 
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modulo et a faire en sorte que la section 51 calcule I'inverse p(x) des 
deux blocs sup6rieurs, de la fonction consistant a lire I'inverse obtenu 
P(x) £ partir de la memoire 2 lorsque I'inverse est 6crit dans la m6moire 
2, de la fonction consistant a obtenir un quotient y(x) en multipliant 
5 I'inverse lu p(x) et les deux blocs superieurs (C'l-^x). C'l-2(x)) du 
polyn6me de dividende courant, de la fonction consistant & etablir le 
quotient obtenu y(x) en tant que quotient qi(x) des deux blocs 
sup6rieurs et d 6crire le quotient qi(x) dans la m6moire 2 et de la 
fonction consistant £ r6peter l'op6ration a partir de la lecture de I'inverse 

10 p(x) jusqu'a I'ecriture du quotient qi(x) jusqu'a ce qu'un reste c(x) soit 
obtenu, comme represents sur la figure 11. 

Comme represents sur la figure 13, la section de calculateur 
d'inverse 51 dispose de la fonction consistant a calculer I'inverse p(x) 
des deux blocs sup6rieurs (F|_-1( X ). Fl-2(x)) du polyndme modulo f(x) 

15 dans la memoire 2 suite a la reception des deux blocs (F|_-1( X ), Fl-2(x)) 
en provenance du circuit d'acquisition de quotient 50 comme repr6sent6 
sur la figure 12 et de la fonction consistant a §crire I'inverse obtenu p(x) 
dans la memoire 2. Le LFSR repr6sente sur la figure 27 est utilis6 en 
tant que circuit de division en tant que partie de la section de 

20 calculateur d'inverse 51 . 

Dans ce cas, I'inverse p(x) comporte un nombre fixe de bits et 
n'est pas un simple inverse mais est corrig6 a I'avance comme 
represents sur la figure 13 afin d'eliminer la n6cessite de normaliser un 
diviseur et de denormaliser un r6sultat d'operation lors de l& 

25 multiplication modulaire principale qui suit. En outre, I'inverse p(x) lui- 
mdme peut etre calcule par I'unite arithm6tique 4 en lieu et place du 
circuit d'acquisition de quotient 50 incluant la section de calculateur 
d'inverse 51. 

Si par exemple la largeur de bus d'un circuit d'op6ration de 
30 produit-somme bas6e sur les entiers est aussi faible que 8 bits, la 
section de calculateur d'inverse 51 peut etre remplacee par un schema 
consistant a stocker les inverses de toutes les valeurs de 8 bits en tant 
que table dans une ROM ou similaire. Cependant, si la largeur du bus 
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est de 16 bits ou plus, la section de calculateur d'inverse 51 est 
davantage preferable que le schema consistant a stocker les inverses 
de toutes les valeurs de 16 bits dans une ROM en consideration de la 
reduction des couts. 
5 Le fonctionnement de I'appareil arithmetique (coprocesseur) 

presentant I'agencement mentionne ci-avant sera decrit ensuite. 

Lors d'une multiplication modulaire pour une base de polyndme 
base sur champ fini GF (2 A m) conformement a la presente invention, 
une operation de multiplication et un modulo sont realises separement. 

10 Plus specifiquement, comme represente sur la figure 14, des 
polyndmes a(x) et b(x) en tant que multiplicande/multiplicateur et un 
polyndme modulo f(x) sont entres comme represente sur la figure 14 
(etape ST1) et une operation de multiplication de a(x) . b(x) est realisee 
afin d'obtenir un resuitat de multiplication C' (x) presentant une longueur 

15 binaire double (etape ST2). Un modulo C(x)mod f(x) est ensuite realise 
(etape ST3) afin d'obtenir un reste c(x) (etape ST4). 

Uop6ration de multiplication de I'etape ST2 est realisee de la 
meme maniere que selon les premier et second modes de realisation. 
Le modulo des etapes ST3 et ST4 sera decrit ci-apr6s. Le calcul sur le 

20 papier sera decrit en premier et un processus r6el correspondant a un 
calcul sur papier sera ensuite decrit. 

Comme indique par le calcul sur papier sur la figure 15, un 
modulo pour I'equation (6) est realise apr6s que le diviseur f(x) et le 
dividende c'(x) sont divises selon des blocs unitaires dont chacun est 

25 constitue par un nombre predetermine k de bits. II est a noter que, par 
exemple, le nombre de bits de chaque bloc unitaire peut etre etabli en 
correspondance avec la largeur de bus du coprocesseur 1 . 

Un bloc sup6rteur c'L-i(x) du dividende c'(x) est divise par f(x) et 
un quotient qi(x) d'un bloc est acquis ^ partir du chiffre sup6rieur. Une 

30 operation qui est c'(x) - f(x) . qi(x) est ensuite r6alisee afin de soustraire 
le dividende c'(x) d'un bloc £ partir du chiffre superieur. 

Plus specifiquement, chaque fois que le quotient qi(x) d'un bloc 
est multiplie par le polyndme de diviseur f(x), (m + 1) blocs sont obtenus 
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Comme represents sur la figure 13 et au niveau de Tequation 
(10), la section de calculateur d'inverse 51 calcule un inverse a(x) des 
deux blocs sup6rieurs (F|_-i(x) f F|_-2(*)) du diviseur f(x) en utilisant un 
LFSR 90 comme suit : 

2k k 

5 oc(x) = x /(F L -i(x).X +F L . 2 (x» ...(10) 

Le cas dans lequel un bloc est constitue par 16 bits (k = 16) sera 

2*16 2k 

decrit. On suppose egalement qu'un dividende vaut x (= x ) dont le 
bit de poids le plus fort MSB vaut "1" et dont les autres bits sont a "0". 

Apres etablissement des deux blocs superieurs (Fl-i(x), F|_-2(x)) 

10 en tant que diviseur dans une unite de coefficient 93 sur la figure 27, la 
section de calculateur d'inverse 51 entre le dividende x 2 ' sur le registre 
a decalage depuis les ordres plus eleves et repete un decalage selon 
des unites d'horloges 2*16 fois, d'ou ainsi I'obtention d'un inverse de 32 
bits a(x). II est a noter qu'un bloc peut etre constitue par 8 ou 32 bits ou 

15 par tout autre nombre arbitraire de bits. Dans un tel cas egalement, 
Pinverse a(x) peut etre calcule au moyen du meme schema. 

Ensuite, la section de calculateur d'inverse 51 concatene les "0" 
des (k-1) bits et le "1" d'un bit pour le MSB de cet inverse a(x) afin 
d'obtenir une valeur de 2k-bits a'(x). La section de calculateur d'inverse 

20 51 decale ensuite cette valeur de 2k-bits <x'(x) vers la gauche du 
nombre h de chiffres du decalage vers la gauche comme obtenu au 
niveau de I'equation (9) afin de calculer I'inverse corrige p(x) : 

p(x) = <x'(x) . x h ...(11) 
Dans ce cas, I'inverse corrige p(x) est une valeur qui satisfait les 

25 equations (8) a (11) mentionnees ci-avant. L'inverse p(x) est calcule 
seulement une fois en relation avec le polyn6me modulo applique f(x) et 
est stocke dans la memoire 2 et est lu a partir de la memoire 2 par la 
suite. Meme si le dividende change, I'inverse P(x) reste le meme aussi 
longtemps que le polyndme modulo f(x) reste le meme. Pour cette 

30 raison, I'inverse p(x) peut etre lu a partir de la memoire 2 sans calculer 
un quelconque nouvel inverse. 
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Lors d'un calcul de quotient, si I'inverse p(x) est etabli a I'avance, 
un modulo peut etre execute au moyen des equations (12) a (15) 
presentees ci-apres. 

Comme indique par I'equation (12) et par la figure 11, le circuit 
5 d'acquisition de quotient 50 multiplie les deux blocs superieurs (C'l-i(x), 
C'l_-2( x )) d'un dividende courant C'i (0 <= i <= n) et I'inverse p(x) : 

y(x) = P(x) . (C'l-1 (x) . x k + C'l. 2 (x)) ... (1 2) 

En outre, comme indique par I'equation (13), le circuit 
d'acquisition de quotient 50 extrait un chiffre correspondant a un 
10 quotient qi(x) d'un bloc en tant que second bloc superieur a partir d'un 
resultat y(x) comme suit : 

qi(x) = y(x) / x^ K ...(13) 
et I'ecrit dans la memoire 2. Par consequent, le quotient qi(x) d'un bloc 
est obtenu. 

15 Comme represente sur la figure 16, I'unite arithmetique 4 

soustrait un produit f(x) . qi(x) du diviseur et du quotient a partir du 
dividende courant c'i(x). 

Plus specifiquement, dans I'unite arithmetique 4, un circuit de 
multiplicateur base sur champ flni GF (2 A m) 12 multiplie le polyndme 
20 modulo f(x) et le quotient qi(x) du bloc courant afin d'obtenir un resultat 
de multiplication P(x) : 

P(x) = f(x) . qi(x) ...(14) 
Des circuits d'additionneur 14 et 15 soustraient (= additionnent) 
ce resultat de multiplication P(x) du dividende courant C'i afin d'obtenir 
25 un dividende suivant C'i+1 : 

C'i+1 = C'i + P(x) ...(15) 
Les equations (12) a (15) sont calculees de facon repetee n fois 
afin d'obtenir pour finir un reste c(x) comme represente sur les figures 
14 a 16. Ce reste c(x) (= [c m _i, .... ci, col) correspond au resultat de 
30 multiplication modulaire final c(x) indique par I'equation (3). 

A I'aide du traitement presente ci-avant, le resultat de 
multiplication modulaire c(x) represente par I'equation (6) peut etre 
calcule a partir du resultat de multiplication c'(x) represente par 
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liquation (5) comme decrit selon le premier ou le second mode de 
realisation, ce qui termine un modulo defini par une multiplication et une 
multiplication modulaire. 
(Evaluation) 

5 Les vitesses de traitement et les dimensions de circuit des 

coprocesseurs 1 des premier a troisfeme modes de r6alisation qui 
realisent des multiplications modulaires selon la maniere presentee ci- 
avant ont ete 6valu6es. Des r6sultats devaluation seront decrits 
s6quentiellement ci-apr£s. 

1 0 (Evaluation de la vitesse de traitement) 

La figure 17 represente le nombre requis d'horloges de 
commande dans le coprocesseur 1 lorsque m (nombre de bits) = 1 60 et 
m = 1024. Lorsque ce coprocesseur est appliqu6 au systeme 
cryptographique d courbe elliptique, m (nombre de bits) = 160 est une 

15 dimension typique. Dans le cas de m = 1024 de la figure 17, puisque la 
longueur de cl6 maximum qui est presentement consideree en tant que 
valeur optimum dans le systeme cryptographique RSA base sur les 
entiers est de 1024 bits, les valeurs de la figure 17 sont pr6sent6es en 
tant qu'estimations de vitesse en consideration d'une augmentation 

20 attendue de la longueur de cle d'un systeme de cryptographie a courbe 
elliptique. 

Pour une comparaison entre les vitesses de traitement, les 
nombres d'horloges de traitement au niveau des operations d'addition, 
de multiplication et d'elevation au carr6 d'une extension de champ GF 

25 de 2 (2 60 ) de 160 bits ont etes 6valu6s. La figure 18 repr6sente les 
r£sultats. II est ^ noter que les nombres d'horloges au niveau des 
operations d'addition, d'elevation au carr6 et de multiplication incluent 
les nombres d'horloges bases sur un modulo en utilisant un polynome 
modulo a la difference du cas represente sur la f^re 17 P ar souci de 

30 comparaison avec la vitesse d'une operation GF (2 ). 

Chaque rapport SR en tant que valeur de comparaison est 
obtenu en divisant le nombre de blocs dans le coprocesseur 1 par le 
nombre d'horloges dans un circuit de registre £ decalage general. Plus 
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cette valeur est faible, plus la vltesse de traitement est elevee. 
Conformement a ces rapports SR, le coprocesseur 1 de la presente 
invention peut executer des operations arithmetiques de champ fini GF 
(2 A m) a I'exclusion d'une operation d'addition a une vitesse de 
5 traitement egale ou superieure a celle du circuit de registre a decalage 
general. 

(Evaluation de la dimension de circuit) 

Comme represente sur la figure 19, la dimension de circuit totale 
du coprocesseur 1 correspond a environ 30k portes. Le circuit du 
10 coprocesseur 1 est forme en additionnant le circuit pour traiter une 
operation arithmetique de champ fini GF (2 A m) a un coprocesseur base 
sur les entiers. 

De facon davantage specifique, comme represente sur la figure 
20, dans I'unite arithmetique 4, le circuit de commutation de report est 

15 additionne au circuit d'operation de produit-somme. Dans I'unite de 
controleur 5, le circuit d'acquisition de quotient 50 est additionne pour 
une operation de division bien qu'il soit simplement requis d'additionner 
de quelconques circuits pour des operations d'addition, de multiplication 
et d'elevation au carre. Aucune RAM (la memoire 2) ni l/F (interface) 

20 n'ont besoin d'etre ajoutes du fait que ces elements sont partages avec 
le coprocesseur base sur les entiers. 

La dimension de circuit totale des circuits additionnels est 
d'environ 5k portes. La dimension des circuits additionnels de 5k portes 
n'est pas tr£s importante pour la technologie LSI recente. C'est-^-dire 

25 que cette dimension tombe dans la plage dans laquelle le coprocesseur 
1 de la pr6sente invention peut etre utilise de facon satisfaisante en lieu 
et place du coprocesseur existant. 

A titre de comparaison, les dimensions de circuit de 
coprocesseurs concus sp6cifiquement pour des operations 

30 arithmetiques de champ fini GF (2 A m) ont etes estim6es lorsque des 
fonctions d'operation arithmetique de champ fini GF (2 A m) (des 
operations d'addition, de multiplication et d'elevation au carre) ont ete 
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realis6es sans utiliser le coprocesseur 1 de la prgsente invention. La 
figure 21 repr6sente les resultats. 

Comme repr6sente sur la figure 21, lorsque m = 160, la 
dimension de circuit du coprocesseur conpu specifiquement pour des 
5 operations arithmetiques de champ fini GF (2 A m) est de 10k portes. 
Lorsque m = 1024, cette dimension devient egale 16k portes. Bien 
evidemment, par consequent, des fonctions d'operation arithmetique de 
champ fini GF (2 A m) peuvent etre realis6es par le coprocesseur 1 de la 
presente invention moyennant une dimension des circuits additionnels 

10 qui est egale a entre environ la moitie et un tiers de celle requise 
lorsque le coprocesseur congu specifiquement pour des operations 
arithmetiques de champ fini GF (2 A m) est utilise. 

Comme d6crit ci-avant, selon ce mode de realisation, en plus 
des effets du premier mode de realisation, les effets qui suivent peuvent 

15 dtre obtenus. Puisque le circuit d'op6ration de produit-somme sur des 
nombres longs realise une operation arithmetique selon un modulo en 
lieu et place du registre d decalage a retour Iin6aire LFSR 90, un degre 
arbitraire m qui est 6gal ou sup6rieur 3 I'unite peut etre utilise. Meme si 
le degre m d'un champ fini GF (2 A m) augmente, une operation 

20 arithmetique peut etre ex6cutee sans modifier I'appareil. En outre, 
reiimination de restrictions en termes de composants materiels du fait 
des limitations qui pesent sur le degre m permet a Tappareil de faire 
face de fagon appropri6e d une augmentation du nombre de bits d'une 
cie de cryptage. 

25 En outre, puisqu'une multiplication modulaire bas6e sur champ 

fini GF (2 A m) est divis6e selon un traitement de multiplication et un 
modulo (division) pour permettre Tutilisation d'un polyndme modulo 
arbitraire f(x), la versatilite generate peut etre amelior6e. 

Lors d'un modulo, lorsque le circuit d 'acquisition de quotient 50 

30 calcule un quotient sur la base du polyndme de dividende c'(x) et du 
polynome de diviseur f(x) afin d'acquerir un polynome de quotient qi(x) 
d'un bloc moyennant le nombre de bits correspondant a la largeur de 
bus a partir des ordres plus eiev6s, Tunite arithmetique 4 calcule le 



BNSDOCIO: <FR 2788867A1_I_> 



2788867 



38 

po!yn6me de dividende suivant c'M(x) en soustrayant le r6sultat de 
multiplication qi(x) . f(x) du polyndme de quotient qi(x) et du polyn6me 
de diviseur f(x) £ partir du polyndme de dividende courant c'i(x). 

Le coprocesseur 1 obtient le reste c(x) en repetant ce traitement, 
5 depuis le calcul du quotient en utilisant le circuit d'acquisition de 
quotient 50 jusqu'au calcul des donn6es de polyndme de dividende au 
moyen de l'op6ration de produit-somme en utilisant I'unite arithmetique 
4. Ceci rend possible de realiser un modulo efficient et un calcul de 
quotient efficient en utilisant les caracteristiques des composants 
10 mat6riels. 

Lors d'un calcul de quotient, le circuit d'acquisition de quotient 
50 multiplie les donn6es d'inverse des deux blocs superieurs des 
donn6es de polyndme de diviseur et des deux blocs sup6rieurs des 
donn6es de polyndme de dividende courant et etablit le second bloc 
15 sup6rieur du r6sultat de multiplication en tant que donn6es de 
polyndme de quotient d'un bloc. Le circuit d'acquisition de quotient 50 
peut extraire une partie de nombre effective £ partir du polyndme de 
quotient obtenu. Par consequent, la precision de fop6ration peut etre 
optimis6e. 

20 Lors d'un calcul de quotient, une commande ind6pendante est 

etablie pour calculer l'inverse p(x) a partir des deux blocs superieurs du 
polynome de diviseur f(x), et Tinverse P(x) est calcule avant une 
operation arithmetique de champ fini GF (2 A m). L'inverse obtenu P(x) 
est stocke dans la m6moire 2. Lors de Tex6cution d'un modulo, l'inverse 

25 P(x) est lu d partir de la m6moire 2. 

Lors de l'ex6cution d'un modulo redondant sous le meme 
polyndme modulo, un quotient est acquis en lisant les donn6es 
d'inverse ^ partir de la memoire et il s'ensuit que le temps requis pour 
calculer les donn6es d'inverse peut etre economist lors du second 

30 calcul de quotient et des calculs de quotient qui suivent. Ceci permet de 
raccourcir le temps de traitement pour une operation d'elevation au 
carr6 et de multiplication (multiplication modulaire) bas6e sur champ fini 
GF (2 A m). En outre, puisque l'inverse p(x) peut etre calcule a I'avance, 
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une multiplication modulaire basee sur champ fini GF (2 A m) peut etre 
realisee en utilisant seulement le circuit d'operation de produit-somme 
pour realiser des operations de multiplication et d'addition. 

Lors du calcul des donnees d'inverse, le circuit d'acquisition de 
5 quotient 50 compte le nombre de 0 consecutifs a partir des bits d'ordre 
eleve des deux blocs superieurs des donnees de polyndme de diviseur 
et extrait des donnees de polyndme de 1 bloc + 1 bit a partir des bits 
d'ordre eleve de telle sorte que le bit de poids le plus fort soit etabli a 1 . 
Le circuit d'acquisition de quotient 50 obtient I'inverse des donnees de 

10 polyndme extraites et concatene les donnees corrigees de 1 bloc dont 
le bit de poids le plus faible est "1" et dont les autres bits sont 0 avec le 
bit de poids le plus fort de I'inverse obtenu de maniere a obtenir de 
facon globale des donnees de deux blocs. Le circuit d'acquisition de 
quotient 50 decale ensuite du point de vue des bits ces donnees en 

15 direction du cote d'ordre eleve d'une valeur correspondant au comptage 
des 0 et etablit les donnees resultantes en tant que donnees d'inverse. 

Une valeur corrigee est etablie en tant que donnees d'inverse 
pour eviter la normalisation d'un diviseur, une correction d'un quotient 
approche et une de-normalisation de resultats d'operation tels qu'un 

20 quotient et qu'un reste, comme realise sur la base de I'algorithme de 
Knuth a I'aide d'une operation de division simple precision qui est 
utilisee lors d'une operation de division basee sur des entiers longs 
generate Ceci rend possible de diminuer le nombre des decalages de 
bits et d'optimiser I'appareil arithm6tique. 

25 Lors d'une operation de multiplication basee sur des entiers, par 

exemple, m bits * m bits = 2m bits de telle sorte que meme si des 0 
consecutifs sont agences en tant que plusieurs bits superieurs des 2m 
bits, le nombre des bits effectifs est de 2m. Si une operation de division 
(modulo) doit etre realisee en utilisant ce resultat de multiplication, 

30 puisqu'une operation de division ne peut pas etre realisee en utilisant 0, 
un diviseur et un dividende doivent etre decales vers la gauche pour 
etre normalises a I'avance de telle sorte que 1 soit etabli en tant que 
MSB. Lorsque I'operation est terminee apres une boucle predeterminee, 
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le r6sultat d'op6ration (quotient et reste) doit egalement etre 
denormalise en etant decays vers la droite du nombre de bits dont le 
diviseur et te dividende ont ete decales vers la gauche. 

Selon ce mode de realisation, puisqu'un diviseur (donn6es 
5 d'inverse p(x)) lors d'une operation de quotient est corrige pour eliminer 
la n6cessite d'un traitement avant et apr6s une telle boucle de division, 
I'appareil arithmetique peut etre optimist. 

Selon ce mode de realisation, puisqu'une operation arithmetique 
est executee selon des unites de blocs au lieu de I'etre selon des unites 

10 de bits en utilisant I'inverse corrige p(x), le nombre de decalages de bits 
peut etre diminue et la vitesse de traitement peut etre augmentee. 

En outre, un appareil arithmetique et un appareil de 
cryptage/decryptage peuvent 6tre realises moyennant une faible 
quantity de circuits additionnels dont chacun incorpore un LSI qui 

15 fonctionne d une vitesse de traitement 6gale ou sup6rieure £ celle d'un 
circuit de multiplicateur base sur champ fini GF (2 A m) du type registre § 
decalage general moyennant un nombre faible de commandes et un 
systeme arithmetique qui utilise un circuit d'operation de produit-somme 
sur des nombres longs et ils peuvent ex6cuter divers systemes 

20 cryptographiques sur la base d'une operation bas6e sur les entiers et 
d'une operation arithmetique de champ fini GF (2 A m). En tant que 
systeme cryptographique qui utilise une operation arithmetique de 
champ fini GF (2 A m), un systeme cryptographique a courbe elliptique tel 
qu'un systeme cryptographique £ courbe elliptique base sur champ 

25 primitif ou qu'un systeme cryptographique c» courbe elliptique bas6 sur 
polyndme peut etre utilise. 

Ce mode de realisation a et£ decrit en tant qu'exemple concret 
du processus de division selon le premier mode de realisation. Meme si 
ce mode de realisation est mis en oeuvre en tant qu'exemple concret du 

30 processus de division selon le second mode de realisation, des 
fonctions et effets similaires peuvent etre obtenus. 
(Quatrieme mode de realisation) 
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La figure 22 est une vue schematique qui represents un 
exemple de I'agencement d'un coprocesseur applique a un appareil 
arithmetique et a un appareil de traitement cryptographique selon le 
quatrieme mode de realisation de la presente invention. 
5 Ce mode de realisation est une modification de chacun des 

premier a troisieme modes de realisation et d'un appareil arithmetique 
concu de facon specifique pour des operations arithmetiques de champ 
fini GF (2 A m). De facon davantage specifique, le circuit de multiplicateur 
base sur les entiers 11, le selecteur 13 et le controleur arithmetique 
10 d'entier 21 sont omis de I'agencement de cet appareil. Puisque le meme 
algorithme arithmetique que celui decrit ci-avant est utilise, un 
traitement de multiplication base sur champ fini GF (2 A m) est divise 
selon une operation de multiplication et un modulo et le modulo est 
execute apres I'operation de multiplication. 
15 Moyennant I'agencement mentionne ci-avant, les memes effets 

que ceux des premier a troisieme modes de realisation peuvent etre 
obtenus a I'exception de la fonction/l'effet d'une operation basee sur les 
entiers elle-meme, de la fonction/l'effet de la commutation du mode 
operation basee sur les entiers et de I'operation arithmetique de champ 
20 fini GF (2 A m). En d'autres termes, les memes effets que ceux associes 
aux operations arithmetiques de champ fini GF (2 A m) selon les premier 
a troisieme modes realisation peuvent etre obtenus. 

Comme il a ete decrit en detail ci-avant, selon la presente 
invention, un appareil arithmetique et un appareil de traitement 
25 cryptographique qui permettent d'executer une operation arithmetique 
de champ fini GF (2 A m) de meme qu'une operation basee sur les 
entiers peuvent etre constitues au moyen de seulement I'addition d'une 
architecture minimum. 

En outre, sont proposes un appareil arithmetique et un appareil 
30 de traitement cryptographique qui peuvent executer des operations 
arithmetiques sans modifier les configurations d'appareil meme si le 
degre m d'un champ fini GF (2 A m) augmente. 
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REVINDICATIONS 



1. Procede d'operation de produit-somme sur des nombres 
longs, caracterise en ce qu'il comprend : 

la realisation d'une operation unitaire en propageant un report 
lors d'une operation arithmetique unitaire basee sur des entiers ; et 
5 la realisation d'une operation unitaire sans propager un 

quelconque report lors d'une operation arithmetique unitaire basee sur 
champ fini GF (2 A m). 

2. Appareil arithmetique pour realiser une operation 
arithmetique de produit-somme sur des entiers longs, caracterise en ce 

10 qu'il comprend : 

un circuit arithmetique unitaire base sur des entiers (11); 
un circuit arithmetique unitaire base sur champ fini GF (2 A m) 
(12) adjacent du point de vue logique audit circuit arithmetique unitaire 
base sur des entiers ; et 
15 un selecteur (13) configure pour selectionner soit ledit circuit 

arithmetique unitaire base sur des entiers, soit ledit circuit arithmetique 
unitaire base sur champ fini GF (2 A m). 

3. Appareil selon la revendication 2, caracterise en ce qu'il 
comprend en outre un circuit d'additionneur (14) qui comporte un 

20 tampon pour stocker des donnees de resultat intermediaire, qui 
additionne les donnees de resultat intermediaire a des donnees de 
resultat en provenance de soit ledit circuit arithmetique unitaire base sur 
des entiers, soit ledit circuit arithmetique unitaire base sur champ fini 
GF (2 A m) en fonction de celui qui est selectionne par ledit selecteur, qui 

25 propage un report lors d'une operation arithmetique unitaire basee sur 
des entiers et qui ne propage pas de report lors d'une operation 
arithmetique unitaire base sur champ fini GF (2 A m). 

4. Appareil selon la revendication 3, caracterise en ce qu'il 
comprend en outre un dispositif de blocage de report (16) pour stocker 
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un report obtenu lors d'un cycle operatoire precedent et un circuit 
d'additionneur des taches de sortie (15) configure pour additionner le 
report dans ledit dispositif de blocage de report a une sortie en 
provenance dudit circuit d'additionneur, pour emettre en sortie un bit 
5 superieur d'un resultat d'addition en tant que report mis a jour sur ledit 
dispositif de blocage de report et pour emettre en sortie un bit inferieur 
du resultat d'addition en tant que donnees de resultat d'operation. 

5. Appareil de traitement cryptographique caracterise en ce 
qu'il realise de facon selective un cryptage ou un decryptage base sur 

10 une operation basee sur des entiers au moyen dudit appareil 
arithmetique defini selon la revendication 2 et un cryptage ou un 
decryptage base sur une operation arithmetique basee sur champ fini 
GF (2 A m) au moyen dudit appareil arithmetique. 

6. Appareil arithmetique caracterise en ce qu'il comprend : 

15 une unite arithmetique (4) incluant un circuit arithmetique 

unitaire sur des entiers (14, 15) ; 

un contrdleur (5) configure pour emettre en sortie, sur ledit 
circuit arithmetique unitaire sur des entiers, un signal de selection pour 
selectionner soit une operation arithmetique unitaire sur des entiers, soit 

20 une operation arithmetique unitaire basee sur champ fini GF (2 A m) ; et 
un contrdleur de propagation de report (33) configure pour 
propager, lorsqu'une operation de produit-somme sur des nombres 
longs doit etre executee, un report d'un resultat d'operation obtenu au 
moyen dudit circuit arithmetique unitaire bas6 sur des entiers suite a la 

25 reception d'un signal de selection correspondant a une operation 
arithmetique unitaire bas6e sur des entiers et pour ne pas propager de 
report du resultat d'operation suite a la reception d'un signal de 
selection correspondant a une operation arithmetique unitaire basee sur 
champ fini GF (2 A m), 

30 dans lequel une operation de multiplication basee sur des 

entiers et une operation de multiplication basee sur champ fini GF (2 A m) 
sont commutees en commandant la propagation de report. 
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7. Appareil selon la revendication 6, caracterise en ce que 
ledit circuit arithmetique unitaire sur des entiers (14, 15) comprend un 
additionneur complet (FA) et ledit controleur de propagation de report 
comprend un commutateur (33) sur lequel le signal de selection et un 

5 signal de sortie de report sont entres et realise une commande de 
propagation de report dudit additionneur complet selon des unites de 
bits. 

8. Appareil selon la revendication 6, caracterise en ce que 
ledit circuit arithmetique unitaire sur des entiers (14, 15) comprend un 

10 additionneur complet et ledit controleur de propagation de report (33) 
comprend une section de selection (33') configure pour realiser une 
commutation entre remission en sortie d'un resultat OU-exclusif a deux 
entrees obtenu par ledit additionneur complet selon des unites de bits et 
remission en sortie d'un resultat OU-exclusif base sur le resultat et sur 

15 un report d'entree en tant que resultat d'addition. 

9. Appareil selon la revendication 6, caracterise en ce que 
ledit circuit arithmetique unitaire base sur des entiers (14, 15) 
additionne en propageant un report lors de Texecution de l'op6ration de 
multiplication bas6e sur des entiers et additionne sans propager un 

20 quelconque report lors de Tex6cution de Top6ration de multiplication 
basee sur champ fini GF (2 A m). 

10. Appareil de traitement cryptographique caracterise en ce 
qu'il realise de fagon selective un cryptage ou un decryptage bas6 sur 
une operation bas6e sur des entiers au moyen dudit appareil 

25 arithmetique defini selon la revendication 6 et un cryptage ou un 
decryptage base sur une operation arithmetique bas6e sur champ fini 
GF (2 A m) au moyen dudit appareil arithmetique. 

11. Appareil arithmetique caracterise en ce qu'il comprend : 
une unite arithmetique (4) incluant un circuit d'operation de 

30 produit-somme sur des nombres longs qui execute une multiplication 
modulaire avec une expression de base polyndme basee sur champ fini 
GF (2 A m) ; et 
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un contrdleur (5) configure pour diviser la multiplication 
modulaire selon un traitement de multiplication et un modulo et pour 
forcer ledit circuit d'operation de produit-somme sur des nombres longs 
a executer la multiplication modulaire. 
5 12. Appareil selon la revendication 11, caracterise en ce que 

ledit circuit d'operation de produit-somme sur des nombres longs 
comprend un circuit de multiplicateur simple precision (12) configure 
pour multiplier des donnees de polyndme de la base polyndme basee 
sur champ fini GF (2 A m) sans propager un quelconque report et un 

10 circuit d'additionneur double precision (14) configure pour additionner 
en utilisant un resultat de multiplication obtenu au moyen dudit circuit de 
multiplicateur, et ledit controleur commande ledit circuit de multiplicateur 
et ledit circuit d'additionneur lors du traitement de multiplication. 

13. Appareil selon la revendication 12, caracterise en ce que : 

1 5 ledit contrdleur comprend un circuit d'acquisition de quotient (50) 

configure pour etablir, lors du modulo, un resultat de multiplication de 
deux donnees de polyndme en tant que donnees de polynome de 
premier dividende, pour etablir des donnees de polyndme modulo 
predetermines en tant que donnees de polynome de diviseur, pour 

20 calculer un quotient sur la base des donnees de polynome de premier 
dividende ou de dividende suivant et des donnees de polyndme de 
diviseur et pour acquerir des donnees de polyndme de quotient d'un 
bloc, le nombre de bits correspondant a une larguer de bus a partir d'un 
ordre supgrieur ; et en ce que 

25 lorsque des donnees de polyndme de quotient d'un bloc sont 

acquises lors du modulo, ledit circuit de multiplicateur et ledit circuit 
d'additionneur (12, 14) calculent des donnees de polyndme de 
dividende suivant en soustrayant un resultat de multiplication des 
donnees de polyndme de quotient d'un bloc et des donnees de 

30 polyndme de diviseur a partir de donnees de polyndme de dividende 
courant, et ledit contrdleur commande ledit circuit d'acquisition de 
quotient pour repeter le traitement jusqu'au calcul des donn6es de 
polyndme de dividende, d'ou ainsi I'obtention de donnees de reste. 
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14. Appareil selon la revendication 13, caracterise en ce que, 
lors du calcul de quotient, iedit circuit d'acquisition de quotient multiplie 
des donnees d'inverse de deux blocs superieurs des donnees de 
polyndme de diviseur et de deux blocs superieurs des donnees de 

5 polyndme de dividende courant et etablit un second bloc superieur du 
resultat de multiplication en tant que donnees de polyndme de quotient 
d'un bloc. 

15. Appareil selon la revendication 14, caracterise en ce que 
Iedit circuit d'acquisition de quotient calcule des donnees d'inverse a 

10 partir de deux blocs superieurs des donnees de polyndme de diviseur et 
stocke les donnees dans une memoire lors de I'acquisition de donnees 
de polyndme de quotient lors d'une premiere operation et lit des 
donnees d'inverse a partir de ladite memoire lors de I'acquisition de 
donn£es de polyndme de quotient lors d'une seconde operation et des 

15 operations qui suivent. 

16. Appareil selon la revendication 14, caracterise en ce que, 
lors du calcul des donnees d'inverse, Iedit circuit d'acquisition de 
quotient compte le nombre de chiffres 0 consecutifs depuis un ordre 
superieur de deux blocs superieurs des donnees de polyndme de 

20 diviseur, extrait des donnees de polyndme d'un bloc +1 bit a partir d'un 
ordre superieur de telle sorte qu'un bit de poids le plus fort soit etabli a 
1, obtient un inverse des donnees de polyndme extraites, obtient des 
donnees de deux blocs en tant qu'ensemble en concatenant des 
donn6es corrigges d'un bloc dont le bit de poids le plus faible est de 1 et 

25 dont les autres bits sont 0 avec un bit de poids le plus fort de I'inverse 
obtenu et en etablissant en tant que donn6es d'inverse un rgsultat 
obtenu en effectuant un decalage binaire des donnees en direction d'un 
cote d'ordre superieur de la valeur de comptage du nombre de 0. 

17. Appareil de traitement cryptographique caracterise par un 
30 cryptage ou un decryptage sur la base d'une multiplication modulaire 

basee sur champ fini GF (2 A m) au moyen dudit appareil arithmetique 
defini selon la revendication 1 1 . 
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18. Appareil selon la revendication 11, caracterise en ce que 
ledit circuit d'operation de produit-somme inclut un circuit arithmetique 
unitaire, fait fonctionner ledit circuit arithmetique unitaire en propageant 
un report lors de I'execution d'une operation arithmetique unitaire basee 
5 sur des entiers et fait fonctionner ledit circuit arithmetique unitaire sans 
propager un quelconque report lors de I'execution d'une operation 
arithmetique unitaire basee sur champ fmi GF (2 A m). 
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